I RAPPORTI FRA INTERNAL AUDIT E FUNZIONE COMPLIANCE
6. Il nuovo Accordo di Basilea
6.2. La misurazione del rischio operativo
Anche nel documento di recepimento della regolamentazione prudenziale relativa all’utilizzo dei metodi avanzati per il rischio operativo30, la Banca d’Italia al § 2.3.2 introduce i “Meccanismi di governo societario per i rischi operativi”, riportando i compiti e le
30
responsabilità in materia di governo e controllo dei rischi operativi dei seguenti organi aziendali: a) Consiglio di Amministrazione; b) Alta Direzione; c) Collegio Sindacale; d) Internal Audit;
e) Funzione di controllo dei rischi operativi.
Ci soffermiamo in particolar modo ad analizzare l’attività svolta dall’Internal Audit e dalla Funzione di controllo dei rischi operativi:
«L’Internal Audit verifica la validità del sistema di controllo dei rischi operativi. Coerentemente con quanto stabilito dal modello di controllo adottato, effettua revisioni periodiche sui sistemi di gestione e di misurazione dei rischi operativi, al fine di valutarne la funzionalità e l’efficacia nonché la conformità con i criteri minimi di idoneità. (…). Rilevanza centrale dell’attività svolta dall’Internal Audit della capogruppo è la revisione del processo di convalida interna (a cui si fa riferimento nel successivo par. 2.4.), finalizzata essenzialmente a verificare l’adeguatezza, la completezza e l’affidabilità delle procedure, delle metodologie e delle infrastrutture informatiche di supporto all’attività di convalida interna. Le attività condotte nell’ambito della revisione, (…), devono consentire l’accertamento (…) della perdurante conformità dei sistemi di gestione e misurazione dei rischi operativi ai requisiti minimi stabiliti dalle norme vigenti. Le valutazioni formulate a seguito della revisione interna assumono particolare rilevanza ai fini dell’individuazione, da parte delle strutture e/o degli organi competenti, delle azioni necessarie a ricondurre l’azienda su adeguati livelli di conformità o a introdurre miglioramenti nel sistema. (…) L’Internal Audit riferisce regolarmente e direttamente ai vertici aziendali delle attività di revisione effettuate e dei connessi risultati. Con cadenza annuale, l’Internal Audit della capogruppo, avvalendosi anche dei riferimenti forniti dall’Internal Audit delle altre società del gruppo, predispone un’apposita relazione che illustra le attività svolte in materia di revisione dei sistemi di gestione e misurazione nonché del processo di convalida interna dei rischi operativi, (…)».
Riguardo alla Funzione di controllo dei rischi operativi «I compiti che spettano a tale funzione comprendono la progettazione, lo sviluppo, l’esecuzione e la manutenzione dei sistemi di raccolta e conservazione dei dati sui rischi operativi, di monitoraggio e reporting, di formazione in materia di rischi operativi, di determinazione del requisito patrimoniale, nonché
di verifica dell’effettivo utilizzo del sistema di misurazione nell’ambito dei processi decisionali e dei sistemi di gestione quotidiana dei rischi operativi. La funzione deve essere dotata di adeguate risorse, che abbiano maturato professionalità nella gestione e nelle metodologie di misurazione dei rischi operativi e abbiano consapevolezza dei processi aziendali. Il responsabile della funzione riferisce regolarmente e direttamente ai vertici aziendali delle attività effettuate e dei connessi risultati. (…). Ai fini dell’assegnazione delle responsabilità della funzione di controllo dei rischi operativi, le banche individuano il modello organizzativo che ritengono più adeguato alle proprie caratteristiche operative e dimensionali».
Al paragrafo seguente, la Banca d’Italia introduce il “processo di convalida interna” (§ 2.4), che deve essere gestito da un “organismo interno indipendente dall’Internal Aauditing”, il quale avrà a sua volta il compito di verificarne il funzionamento.
«Il processo di convalida interna è costituito da un insieme formalizzato di attività, strumenti e procedure volte a valutare nel continuo la qualità dei sistemi di gestione e di misurazione dei rischi operativi, nonché la loro coerenza con le prescrizioni normative, con le esigenze operative aziendali e con l’evoluzione del mercato di riferimento. L’effettiva indipendenza della funzione responsabile della convalida interna va valutata tenendo conto che essa:
• a prescindere dalla sua collocazione nell’ambito dell’organizzazione aziendale, sia funzionalmente autonoma dal personale a vario titolo responsabile della gestione quotidiana dei rischi operativi nei segmenti di operatività;
• abbia un responsabile che non si trovi in situazioni di dipendenza gerarchica rispetto ai soggetti responsabili delle attività da monitorare;
• sia dotata di un numero di risorse adeguato, con idonee competenze specialistiche e con remunerazione non correlata alla performance delle attività oggetto di riscontro;
• sia separata dalla funzione di internal audit; quest’ultima è poi chiamata a valutare se la collocazione organizzativa dell’unità che effettua la convalida interna possa comprometterne l’indipendenza».
La Banca d’Italia, in questo ultimo caso, descrive una funzione le cui caratteristiche sono molto simili a quelle previste per la Funzione compliance; non si fa però esplicito riferimento ad essa.
Questo “organismo interno indipendente dall’Internal Audit” deve occuparsi della “convalida interna” dei sistemi di gestione e di misurazione dei rischi operativi, nonché della loro coerenza con le prescrizioni normative e le esigenze operative aziendali; mentre l’Internal Audit è chiamato a verificare l’adeguatezza di tale processo.
Possibili inefficienti sovrapposizioni possono nascere dalla prescrizione in virtù della quale l’internal audit “effettua revisioni periodiche sui sistemi di gestione e di misurazione dei rischi operativi, al fine di valutarne la funzionalità e l’efficacia nonché la conformità con i criteri minimi di idoneità”, non essendo specificato, al momento, il tipo di verifiche che devono essere svolte e in che modo si differenziano da quelle compiute attraverso il processo di convalida interno, potrebbero sorgere, in alcuni casi, problemi di duplicazioni di processi e dei conseguenti costi.
Anche in questo caso, tuttavia, così come nel precedente processo di verifica dei sistemi IRB, è identificabile la volontà di individuare tre livelli di controllo svolti rispettivamente da: la funzione di controllo dei rischi operativi; l’organo preposto al controllo interno; l’internal
audit.
7. Riflessioni conclusive
Ben oltre la complessità operativa interna di ogni intermediario, che pure abbiamo visto determinare la vasta eterogeneità degli atteggiamenti aziendali verso la compliance, ulteriori fattori di complessità e di soggettività interpretativa da parte delle aziende, in merito allo svolgimento della funzione di verifica della conformità sono introdotti dalla proliferazione normativa che caratterizza il contesto attuale e dall’assenza, per il momento, di un chiaro e concreto coordinamento normativo (leggi e regolamenti spesso emanati in contesti differenti e rispondenti a differenti obiettivi).
Attraverso lo studio di alcune delle discipline che coinvolgono l’attività di compliance e di internal audit, è stato possibile individuare una comune linea di demarcazione che distingue le due funzioni e ne definisce le rispettive competenze, sia in tema di prestazione di consulenza, sia in tema di attività di attestazione delle procedure aziendali, che di verifica.
In alcuni casi, seppure in maniera non sempre così netta, è stato possibile individuare delle differenze nella “natura dei controlli” effettuati dall’organo di compliance e dall’Internal
Audit, che portano a chiarire le difformità fra una attività di consulenza finalizzata
applicabili (funzione di verifica della conformità) e la prestazione di servizi di sostegno e assistenza intesi a fornire valore aggiunto e migliorare i complessivi processi di governance,
risk management e controllo dell’intera organizzazione, senza assumerne responsabilità
manageriali (funzioni di auditing). In questi termini, mentre l’attività di compliance risulta essere per sua stessa natura un servizio obbligatorio, connaturato con il ruolo preventivo della funzione, quella di Internal Audit si caratterizza per essere una attività di consulenza “a chiamata”, o su iniziativa della medesima funzione, focalizzata sulla necessità che il progetto/processo risulti coerente con le attività di business e con il generale obiettivo di contenimento dei rischi aziendali considerati nel loro complesso.
In altri termini, mentre l’oggetto dell’attività di consulenza riguarda, nel caso della Funzione compliance, la legittimità stessa delle procedure aziendali e può essere sviluppata con il sostegno della Funzione Legale; la consulenza prestata dall’Internal Audit è svolta sulle varie operazioni al fine di garantire la coerenza dell’operatività dell’azienda nell’ambito del sistema delle strategie d’impresa.
L’attività consultiva della funzione di compliance è svolta ex-ante, in fase di attuazione dei presidi, tenuto conto, ancora una volta, del ruolo preventivo della funzione stessa; ma anche ex-post, in fase di monitoraggio dei processi o quando si siano manifestate, o siano state segnalate dall’audit, carenze nei processi o nelle procedure, al fine di colmare i gap emersi.
Le due funzioni sono chiamate, come visto in precedenza, a prestare attività di
assurance dei processi e delle procedure aziendali; ma anche in questo contesto possono
essere individuate delle differenze fra le attività svolte da ognuna di esse.
L’attività di assurance può riguardare l’assetto organizzativo, il sistema delle deleghe e dei poteri, il sistema dei controlli interni, i processi e le procedure aziendali, nonché le attività di reporting interno e di informativa alla clientela. In merito a questi aspetti, la Funzione
compliance fornisce attività di assurance garantendo la corretta applicazione delle norme nei
diversi momenti che interessano la vita aziendale; mentre la Funzione di auditing interno valuta obiettivamente ognuno di questi elementi, al fine di apprestare un giudizio indipendente in merito alla loro pertinenza ai requisiti previsti per il buon funzionamento della azienda stessa.
Tabella 3.3: L’attività di assurance: i compiti e le responsabilità della Funzione compliance e dell’Internal auditing
Attività di assurance
FUNZIONE INTERNAL AUDITING FUNZIONE COMPLIANCE Assetto
organizzativo
Valuta l’adeguatezza dell’assetto organizzativo relativamente ai requisiti previsti per il “buon funzionamento” dell’azienda. I principali fattori di analisi periodica:
1) Dimensionamento; 2) Struttura aziendale; 3) Livelli gerarchici; 4) Processi decisionali.
• Linee di business esistenti: la Funzione di Compliance guida l’applicazione della normativa, coordinando le funzioni aziendali coinvolte, in occasione di introduzione, cambiamenti o aggiornamenti della normativa. Valuta, quindi, i rischi di mancato rispetto della Policy di Compliance aziendale
• Sviluppo di nuovi prodotti e/o linee di business: valutazione ex ante della conformità alla regolamentazione di riferimento nonché nella prevenzione e nella gestione dei conflitti di interesse. Sistema delle
deleghe e dei poteri
Valuta la corrispondenza tra il sistema di deleghe e poteri definito all’interno dell’azienda e quanto statuito dalle specifiche delibere del Consiglio di Amministrazione.
Valuta che l’allocazione delle deleghe e dei poteri consenta un adeguato trattamento della tematica del conflitto di interesse,
Sistema dei controlli interni
Analizza l’adeguatezza del Sistema dei Controlli Interni, valutando in particolar modo:
• il presidio complessivo offerto contro tutti i rischi, incluso quello di compliance;
• l’efficacia ed efficienza dei processi aziendali;
• la salvaguardia del valore delle attività e protezione dalle perdite;
• coerenza dei presidi organizzativi rispetto all’evoluzione delle strategie aziendali ed al cambiamento del contesto di riferimento.
Aggiorna l’universo dei rischi di non conformità e propone l’introduzione di fattori di mitigazione e di controllo integrativi ritenuti necessari per il loro contenimento o per la loro eliminazione. In particolare, attraverso un’ampia ed esaustiva attività di assessment periodico, analizza e valuta in termini di rispondenza alle norme dei processi aziendali, al fine di predisporre i piani di intervento atti a rimuovere i gap riscontarti.
Modelli di gestione del rischio
Analizza i modelli di gestione del rischio adottati dall’azienda al fine di verificarne il loro corretto ed efficace funzionamento.
Con riferimento agli adempimenti normativi che interessano la società, la FC ha il compito di provvedere all’aggiornamento del modello di gestione del rischio di non conformità adottato; deve inoltre valutare l’impatto della normativa sui modelli di gestione dei rischi che la società adotta.
Processi Effettua un’attività di miglioramento dell'efficacia e dell'efficienza dell’organizzazione attraverso la valutazione dei processi di risk management, controllo e governance con l’obiettivo di fornire al
management un giudizio di affidabilità sul fatto che
il sistema di controllo, in tutte le sue articolazioni e qualunque sia il modello adottato, sia in grado di presidiare i rischi emergenti, prevenendone o mitigandone l’impatto sugli obiettivi aziendali, di
business e di governo.
Svolge un attività di assurance, ex ante, della conformità dei processi alla normativa di riferimento; propone modifiche organizzative atte a rimuovere eventuali gap riscontrati e prevenire e contenere il rischio di non conformità.
Anche lo stesso processo di compliance, come le altre componenti del sistema di controlli interni, è sottoposto alla valutazione di assurance da parte dell’ IA.
Procedure Come previsto dagli standard professionali, di norma, l’Internal Audit non partecipa alle fasi di disegno delle procedure aziendali e pertanto l’attività di assurance dei processi aziendali non è strettamente richiesta. Tuttavia in alcune organizzazioni per ragioni derivanti da prassi consolidate (le dimensioni operative dell’intermediario, specifiche competenze e/o ruoli assunti dall’internal audit) la validazione delle procedure organizzative viene assegnata all’Internal auditing, con l'obiettivo di garantire:
• l’ordinata e corretta prestazione dei servizi;
• l’adeguata definizione delle responsabilità e del presidio delle attività da parte delle linee operative;
• la ricostruzione delle modalità operative;
• un’adeguata vigilanza interna sulle attività svolte.
La funzione di Intenal audit potrà anche essere chiamata a fornire un parere, non vincolante, in sede di emanazione di una nuova procedura, ai fini dell’efficacia di quest’ultima nel definire il flusso operativo e a garantire un costante presidio di
ontrollo e di monitoraggio. c
Considerato il ruolo proattivo della FC nella gestione del rischio di non conformità, essa deve far sì che le procedure organizzative siano tali da prevenire la violazione di norme di
eteroregolamentazione ed autoregolamentazione e deve pertanto
svolgere un’attività di validazione ex ante e nel tempo delle procedure in relazione al principio di conformità alla normativa di riferimento.
Tale attività è da ricondursi in particolare alle procedure che siano state rilevate sensibili a rischi di
compliance e di reputazione
nell’ambito del risk assessment condotto dalla FC.
Fonte: AIIA, Aicom (2007), Position Paper, Documento di consultazione.
Infine, riguardo all’attività di verifica, la Funzione compliance opera un monitoraggio sulle procedure e sui processi, nonché sulle singole operazioni o prodotti, conformemente all’obiettivo di individuare i possibili rischi di non-conformità; mentre l’Auditing interno è chiamato a verificare il corretto funzionamento del sistema dei controlli interni e dei meccanismi di gestione dei rischi nel loro complesso (rischi strategici, operativi, di credito, di mercato, reputazionale e di non conformità, altri rischi), al fine di individuare eventuali carenze e, ove necessario, predisporre adeguate soluzioni organizzative attraverso la consulenza ai vertici aziendali.
In altri termini, la Funzione compliance effettua verifiche analitiche, anche attraverso processi di risk-assessment, sviluppate direttamente dalla Funzione stessa, oppure dalle diverse unità operative coinvolte, in base a disposizioni dettate e validate dalla Compliance. Questa funzione rientra, dunque, a pieno titolo nell’attività di controllo di secondo livello.
All’Internal Audit, al contrario, è richiesta la padronanza dell’intero sistema di business e dei controlli interni, la sua attività di supervisione è svolta prevalentemente a distanza, ma anche attraverso visite ispettive in loco (nell’ottica della vecchia funzione di ispettorato) con specifico riferimento alle aree giudicate più rischiose a seguito dei risultati rivenienti da processi valutativi e di scoring, basati su indicatori di anomalia, emersi sia dalle analisi dirett
di verifica svolta dalla Funzione compliance può essere idealmente suddivisa in du
riguardare l’esis
esse, l’antiriciclaggio o altri rischi
anche verifiche dirette sul campo; va da sé che la
avvenga sulla base di un rapporto chiaro e possibilmente formalizzato, che preve
e, che dalla rielaborazione delle informazioni ricevute dai livelli di controllo sottostanti (controlli di linea, risk management, compliance).
L’attività
e fasi: le verifiche che potremmo definire ordinarie, e le verifiche cosiddette straordinarie.
Le prime consistono nell’esame del funzionamento dei controlli di primo livello, in base alle procedure individuate dalla Compliance stessa, in fase di assurance e consulenza; tale attività viene condotta attraverso un adeguato e sistematico processo di reporting periodico o eccezionale, quando si ravvisano situazioni di particolare rischiosità. Pertanto, le verifiche di pertinenza della Funzione di compliance, in linea di principio, dovranno
tenza, l’adeguatezza e il rispetto di presidi organizzativi presso le strutture operative, al fine di verificare che questi presidi siano organizzati e funzionino correttamente.
Le verifiche straordinarie sono, invece, richieste su materie specifiche (quali l’attività in titoli dei dipendenti della banca, la gestione dei conflitti d’inter
ritenuti imprescindibili da ogni azienda) o in condizioni di particolare rilevanza di volta in volta individuate dalla banca e riportate nel relativo mandato.
In questi casi, la Compliance può svolgere
capacità di budget e le risorse umane dedicate dovranno essere adeguate all’ampiezza e alla complessità di queste esigenze straordinarie.
Per le proprie verifiche, sia “ordinarie” che “straordinarie”, peraltro, la Funzione di
compliance potrebbe avvalersi delle risorse professionali della struttura di Internal Audit,
purché questo
da comunque la valutazione finale delle risultanze emerse a carico della Funzione di
compliance31.
31
E’ auspicabile che lo spirito di collaborazione che anima le due funzioni raggiunga il suo massimo grado di intensità nell’attività di verifica, affinché si possa evitare la duplicazione di attività ed elevare il grado di efficacia ed efficienza per la società.
Dunque, laddove si configuri un sistema di controlli integrato e incardinato gerarchicamente, sviluppato su diversi livelli, gestiti da organismi autonomi e dotati di autorevolezza e delle necessarie risorse umane e materiali, è possibile strutturare un processo efficace e privo di inutili duplicazioni di costi, finalizzato al perseguimento dell’obiettivo
a le diverse funzioni coinvolte.
della diffusione di una cultura del controllo e della conformità, mediante la collaborazione attiva fr
Tabella 3.4: Obiettivi, metodi e interventi della Funzione Compliance e dell’Internal Audit
FUNZIONE COMPLIANCE INTERNAL AUDITING
OBIETTIVI
¾ IDENTIF SCHI DI ¾ VALUTAZ OBIETTIVI STEMA DI I ED EFFICACI
ICAZIONE RI IONE DEL SI
COMPLIANCE
¾ PROCESSI CONFORMI A NORME E REGOLE
CONTROLLO INTERNO
¾ PROCESSI PIU’ EFFICIENT
METODO
VISIONE SINTETICA DEI RISCHI
INTERVENTO
TOP DOWN: APPROFONDIMENTO DI
AREE A RISCHIOSITA’ ELEVATA
METODO
VISIONE ANALITICA DEI RISCHI
VENTO
BOTTOM UP: ANALISI DI TUTTI I
PROCESSI ESPOSTI AI RISCHI DI COMPLIANCE
INTER
Fonte: Sassi P. (2006).
A tal fine è necessario che le relative competenze siano espressamente definite in un documento dal quale traspaiano anche le connesse responsabilità.
L’analisi fin qui esposta ha messo in evidenza come si presentino diversi elementi di incertezza e momenti di apparente sovrapposizione fra più funzioni chiamate a svolgere
compiti molto prossimi fra loro. Tuttavia, la linea espressa dalla Banca d’Italia nel documento di recepimento della nuova regolamentazione prudenziale internazionale, riguardo al metodo dei rating interni per il rischio di credito, e individuata, in maniera analoga, dalla direttiva MiFID, con la quale si introduce un’articolazione dei sistema dei controlli su tre livelli, sembra poter essere utilmente accolta e portarci alla considerazione che, quando saranno stati super
riguardo ai possibili danni o alle sanzioni che possano generarsi a segui
ece, responsabile della coerenza del proprio operato ai princi
documento di consultazione sulla compliance emanato dalla
solo alcune normative che, come specificato in precedenza, le saranno state attribuite dal mandato. Del resto, se la Funzione compliance dovesse intervenire anche sui comportamenti,
ati i limiti operativi di coordinamento fra le varie disposizioni e le diverse attività degli organismi aziendali, sarà possibile escludere la possibilità di sovrapposizione fra l’attività di
internal audit e quella di compliance e intraprendere un processo di effettiva generazione del
valore per tutta l’azienda.
E’ necessario, in conclusione, che sia fatta chiarezza su un elemento di basilare rilevanza al fine di poter attribuire ruoli e competenze specifiche alla due funzioni: la
Compliance è l’organo posto a presidio del rischio di non conformità, ma essa non assume
responsabilità dirette
to del verificarsi di un evento attinente la compliance; questa responsabilità attiene alle unità business che hanno generato il danno; pertanto, il controllo operativo è di competenza delle dirette unità di business, così come indicato dalla Banca d’Italia nel cosiddetto primo livello di controllo32.
La Funzione di compliance è, inv
pi di conformità; responsabili, altresì, della supervisione complessiva del sistema di gestione del rischio di non conformità alle norme sono il Consiglio di Amministrazione e il Collegio Sindacale, come indicato nel
Banca d’Italia lo scorso agosto.
In questo contesto, l’Internal Audit non riveste un’attività limitata alla verifica della conformità, ma piuttosto alla valutazione della coerenza dei processi di controllo, di gestione dei rischi e di corporate governance.
Ciò detto, mentre l’Auditing deve accertare anche i comportamenti del personale